Poniżej znajdą Państwo najważniejsze informacje związane z PSD 2.

Co to jest PSD2?

Dyrektywa PSD2 ma za zadanie stworzyć lepsze otoczenie dla innowacyjności, konkurencyjności i wydajności systemu finansowego w Unii. Zapewni konsumentom większy i lepszy wybór na rynku detalicznych płatności w UE. Wprowadzi również podwyższone standardy bezpieczeństwa dotyczące płatności internetowych. Dzięki temu konsumenci będą bardziej pewni zakupów online.

Co oznacza skrót SCA?

SCA z ang. Strong Customer Authentication, czyli silne uwierzytelnienie klienta. W praktyce oznacza dwuetapową weryfikacją tożsamości. Ten proces musi wykorzystywać dowolne dwie metody uwierzytelniania z trzech możliwych, wykorzystujących:

Każda z tych metod jest od siebie niezależna, co zwiększa jej skuteczność.

Co to jest 3D Secure?

Narzędzie uwierzytelniające lub protokół wprowadzony przez największe organizacje płatnicze, aby pomóc konsumentom w potwierdzaniu tożsamości przy transakcjach kartami, które nie są fizycznie obecne, poprzez zapewnienie dodatkowej warstwy zabezpieczeń.

Co nowego wprowadza 3DS 2?

Dotychczas stosowany protokół 3D Secure 1 umożliwiał przekazywanie danych pomiędzy najważniejszymi uczestnikami ekosystemu płatności w celu uwierzytelnienia transakcji. 3DS2 to najnowsza wersja tego protokołu, która wprowadza ulepszenia uwzględniające wymogi regulacyjne SCA Unii Europejskiej, potrzebę obsługiwania nowych kanałów płatności, takich jak portfele cyfrowe, oraz spadające współczynniki konwersji. Dzięki systemowi 3DS2 akceptanci będą mogli umieścić dodatkową warstwę zabezpieczeń, wykorzystując integrację z naszym API w swoich procesach transakcyjnych, co pomoże im spełnić nowe przepisy dotyczące uwierzytelniania SCA i skuteczniej zwalczać oszustwa, bez uszczerbku dla komfortu klientów.

Czy wprowadzone zmiany będą dotyczyć wszystkich typów transakcji?

Niektóre transakcje CIT (z ang. „Customer Initiated Transactions”) będą wyłączone ze stosowania protokołu 3DS2. Dotyczy to między innymi:

  • Transakcji o niskiej wartości – Transakcje o wartości niższej niż 30 euro każda, przy czym dozwolone jest nie więcej niż pięć transakcji z rzędu lub suma transakcji nie przekraczająca 100 euro (ustalane po stronie banku, który wydał kartę). Po przekroczeniu wartości licznika wymagane będzie zastosowanie SCA w celu potwierdzenia tożsamości oraz wyzerowania licznika.
  • Transakcji o niskim ryzyku – Transakcję należy uznać za transakcję o niskim ryzyku, jeżeli przeszła pomyślnie ocenę ryzyka w czasie rzeczywistym, dokonaną przez agenta rozliczeniowego lub bank. Wymaga jednak ona narzędzia do monitorowania transakcji w czasie rzeczywistym, gdzie akceptant będzie oznaczał taką transakcję flagą.
  • Transakcji MOTO i IVR – Dane kart płatniczych zbierane od klientów przez telefon.
  • Transakcji powtarzających się / abonamentów oraz transakcji inicjowanych przez Akceptanta – Usługa oparta na subskrypcji, w której występują powtarzające się płatności o tej samej / różnej wartości. Jednak moment wyrażenia zgody na cykliczne obciążanie karty i zapisanie karty będzie wymagał silnego uwierzytelnienia.

W moim sklepie są tylko Pay-by-link (e-przelewy), czy to też mnie dotyczy?

Zmiany te dotyczą Akceptantów, którzy będą zapisywali dane kart klientów w celu realizacji opłat abonamentowych, aby móc w ich imieniu dokonywać płatności.

Jeśli Akceptant nie posiada płatności kartowych, zmiany przy płatnościach PBL go nie dotyczą, natomiast klienci e-sklepów podczas logowania się do banku będę przechodzili proces dwustopniowego uwierzytelniania przez ich bank, a także mogą zostać poproszeni o to przy zatwierdzaniu transakcji.

Czym różnią się transakcje MIT i CIT?

MIT (z ang. „Merchant Initiated Transactions”), transakcje inicjowane przez Akceptanta w imieniu klienta.

CIT (z ang. „Customer Initiated Transactions”), transakcje inicjowane przez klienta.

Co jeśli nie wprowadzę zmian?

Transakcje będą procesowane dalej, jednak częściej będzie wymagane użycie SCA, czyli silnego uwierzytelnienie klienta.

Jakie konkretnie zmiany muszę wprowadzić?

Implementacji 3DS2 dokona dostawca usługi płatniczych. Akceptanci powinni przekazywać więcej informacji o kliencie aby być zwolnionym z SCA.

Dla wszystkich transakcji wymagane są podstawowe dane o Kliencie:

  • e-mail,
  • adres rozliczeniowy (billing adress),
  • adres dostawy (shipping adress),

Dla Akceptantów wykonujących transakcje typu CIT (z ang. „Customer Initiated Transactions”) wymagane jest przekazywanie danych opisanych  w dokumentacji dotyczące implementacji   standardów 3DS2 (link).

Ważne: Im więcej danych z dokumentacji będzie zintegrowane i przekazywane do dostawcy usług płatności, tym rzadziej klienci będą musieli dokonywać uwierzytelniania z użyciem SCA.

Do kiedy muszę wprowadzić zmiany po swojej stronie?

Ostateczny termin przekażemy Państwu w kolejnej komunikacji. Na dzień dzisiejszy transakcje procesujemy tak jak dotychczas.

Co z obecnymi abonentami? Ich zgody wygasną? Czy klienci musieli ponownie się zapisać?

Będą dalej funkcjonowały na dotychczasowych zgodach klientów.

Co w przypadku transakcji powtarzających się (recurring payments)?

Transakcje takie będą mogły być realizowane tylko i wyłącznie na stałą kwotę.